Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Анализ технических мер защиты персональных данных. Оптимизация затрат.

Презентация:



Advertisements
Похожие презентации
Корт С.С., СПбГПУ. Приказ ФСТЭК России от Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию.
Advertisements

» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Защита персональных данных в информационных системах 24 ноября 2010 года.
Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.
Защита персональных данных. Практический алгоритм проведения работ в организациях, учреждениях, на предприятиях Истомин Дмитрий
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Защита персональных данных в АИБС МАРК. Нормативные требования Закон 152-ФЗ «О персональных данных» Постановление Правительства 781 «положение об обеспечении.
Образец подзаголовка Киселёва Н.Г. КЗИ-104 "Методика защиты персональных данных" Методика Защиты Персональных Данных Владимирский государственный университет.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по определению персональных данных и подготовке нормативных документов.
Санкт-Петербург 2013год «Классификация информационных систем персональных данных»
Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Транксрипт:

Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Анализ технических мер защиты персональных данных. Оптимизация затрат на тех. инфраструктуру Круглова Елена Владимировна директор по развитию (ИТ) ООО «Управляющая компания «КапиталЪ» ИТ директор ЗАО «Холдинг УК»

2 План Этапы подготовки к проверке Роскомнадзора Анализ: где искать ПД ? Классификация: специальная или типовая ИС? Определение объема требований Оптимизируем! Точки контроля во время проверки

3 Порядок подготовки к проверке

4 Где искать ПД? (слайд 1) Программы, содержащие данные клиентов (физ. лиц): CRM, база данных потенциальных клиентов Система сбора заявок, анкетных данных (если есть) Внутренний/операционный учет Расчет НДФЛ База данных для передачи данных по НДФЛ в ФНС Системы ЭДО (Например, пайщики) Программы, содержащие данные представителей клиентов/контрагентов (юр. лиц): Системы ЭДО Программы учета (?)

5 Где искать ПД? (слайд 2) Программы, содержащие конф. данные сотрудников: Кадровый, воинский учет Расчет НДФЛ (!) База данных для передачи данных по НДФЛ в ФНС (!) База данных для передачи данных в ПФР Данные по зарплатным карточкам (для перевода средств) Банк-клиенты, системы ЭДО (?) (!) Базы данных для передачи данных по ОМС, ДМС Программы, содержащие общедоступные данные сотрудников: Сайт Внутренний корпоративный сайт Почтовая программа База данных пользователей сети у ИТ

6 Точки контроля Соответствие объема данных в ИС описанным во внутренних документах (PrintScrn) Отсутствие данных по клиентам или сотрудникам, с которыми расторгнуты отношения Отсутствие специальных категорий ПД: национальность (!поля «комментарий») Общедоступные источники: сравнение с Согласием

7 Анализ и классификация систем 1.Проведение классификации систем Категория обрабатываемых данных Объем обрабатываемых данных Заданные характеристики безопасности Структура ИС Наличие подключения ИС к сетям общего пользования Режим обработки ПД ( однопользовательские и многопользовательские) Режим разграничения прав доступа пользователей ИС Местонахождение тех. средств ИС 2. Специальная или типовая ИС 3. Определение класса типовой ИС

8 Определение класса типовой ИСПДн Количество субъектов ПД < Количество субъектов ПД – Количество субъектов ПД > категория (обезличенные данные) К4 3 категория (идентифицировать субъект ПД) К3 К2 2 категория (идент. и получить доп. информацию) К3К2К1 1 категория (специальная категория) К1 «..В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем..»

9 Основные требования к системам различных классов Контроль отсутствия НВ Требования к защите от ПЭМИН Требования к защите от НСД и НД Требования к защите акустической информации К1++ (могут применяться…) ++ (если исп. голосовой ввод) К2Целесообразн ость определяется оператором + (гос.стандарты) +- К3-+- К4Перечень мероприятий определяется оператором Приказ ФСТЭК 58 от Модель угроз

10 Оптимизация. Основные виды расходов На технические меры защиты информации: закупку/настройку/поддержку (Например, для защиты от НСД и неправомерных действий должны быть внедрены системы: управление доступом; регистрация и учет; обеспечение целостности; контроль отсутствия недекларированных возможностей; антивирусная защита; обеспечение безопасного межсетевого взаимодействия ИСПДн; анализ защищенности; обнаружение вторжений) На административные меры защиты информации: разработка внутренней документации, охрана и др. На изменение бизнес процессов, связанных с реализацией мер защиты, оптимизацией расходов На наем персонала, обучение На подготовку к получению лицензий ФСТЭК, ФСБ в случае необходимости На подготовку к аттестации СЗ ИСПДн

11 Методы оптимизации расходов на тех. средства Изменение класса ИСПДн (для типовых) - Изменение категории ПД - Изменение объема ПД Уменьшение объема технических требований (для заданного класса) - Специальные ИС - Другие способы Аутсорсинг (хранения, защиты и др.)

12 Оптимизация. Понижение класса ИС Изменение категории ПД Обезличивание Перевод в категорию общедоступных данных Отделение данных, позволяющих идентифицировать субъект ПД, от данных, позволяющих получить о нем дополнительную информацию Отказ от сбора части информации, заведение в ИС (например, графа национальность для сотрудников) Изменение объема ПД Дробление ИС на подсистемы (базы данных) с меньшим объемом «.. информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем..» Уничтожение данных, по которым истек срок полезного использования Организация архивов без использования средств автоматизации

13 Оптимизация. Понижение технических требований. Специальные ИС Специальные ИС - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Требования?

14 Оптимизация. Понижение технических требований. Слайд 2 Пересмотр схемы подключения к сетям общего пользования Пересмотр местонахождения тех. средств ИС Пересмотр границ ИС. Разделение сегментов сети разных классов. Терминальный доступ.

15 Оптимизация. Пример выделения ИСПДн

16 Оптимизация. Аутсорсинг Создание холдингов, внешний хостинг Подряд внешних компаний

17 Защита. Организационные меры (ПП 781) По информационным системам (по каждой): Регламент выдачи прав доступа в ИС Матрица доступа; список лиц, обрабатывающих ПД Регламент уничтожения/обезличивания данных (включая резервные копии!) Инструкции операторам, и администратору безопасности ИС Описанный порядок действий с данными в ИС «Логи»: журналы учета данных и действий в ИС Документ описывающий передачу ПД между ИС Общие тех. документы: Перечень технических средств, участвующих в обработке ПД (можно в электронном виде, ПП 781) Комиссия по классификации Акт классификации ИС (Приказ 55/86/20) Наличие модели угроз безопасности

18 Защита. Организационные меры Обучение персонала Данные журналистов, визитки (?) Резюме потенциальных кандидатов Пункт охраны (пропуска!)

19 ЗАКЛЮЧЕНИЕ Спасибо за внимание! Легких вам проверок и эффективной защиты! Круглова Елена Владимировна директор по развитию ООО «УК «КапиталЪ» +7 (495) (доб. 2377, 2477)